Dropbox mengungkapkan akses tidak sah ke 130 repositori source code GitHub

idNSA.id - Layanan hosting file Dropbox mengumumkan bahwa pelaku ancaman memperoleh akses tidak sah ke 130 repositori source code-nya di GitHub.

Menurut penasihat yang diterbitkan oleh Dropbox, perusahaan tersebut menjadi target kampanye phishing yang menghasilkan akses ke repositori GitHub. Penyelidikan mengungkapkan bahwa kode yang diakses oleh penyerang berisi beberapa kredensial, terutama, kunci API, yang digunakan oleh tim pengembangan.

Perusahaan menunjukkan bahwa tidak ada konten, kata sandi, atau informasi pembayaran yang diakses, itu juga mengatakan bahwa masalah itu dengan cepat diselesaikan.

Dropbox menggunakan CircleCI untuk penerapan internal tertentu, dan pada awal Oktober, kampanye phishing menargetkan beberapa Dropboxer menggunakan pesan yang meniru identitas CircleCI.

“Sementara sistem kami secara otomatis mengkarantina beberapa email ini, yang lain masuk ke kotak masuk Dropboxer. Email yang tampak sah ini mengarahkan karyawan untuk mengunjungi halaman login CircleCI palsu, memasukkan nama pengguna dan kata sandi GitHub, dan kemudian menggunakan kunci otentikasi perangkat keras untuk memberikan One Time Password (OTP) ke situs jahat tersebut.” membaca nasihat yang diterbitkan oleh perusahaan. “Ini akhirnya berhasil, memberikan akses pelaku ancaman ke salah satu organisasi GitHub kami di mana mereka melanjutkan untuk menyalin 130 repositori kode kami.”

Repositori termasuk salinan internal library pihak ketiga yang sedikit dimodifikasi untuk digunakan oleh Dropbox, prototipe internal, dan beberapa tool dan file konfigurasi yang digunakan oleh tim keamanan layanan hosting file.

Data yang terpapar mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor.

Pada September 2022, GitHub memperingatkan kampanye phishing yang sedang berlangsung yang menargetkan penggunanya untuk mencuri kredensial dan kode 2 Factor Authentication (2FA) dengan meniru platform CircleCI DevOps.

Perusahaan mengetahui serangan terhadap penggunanya pada 16 September, itu menunjukkan bahwa kampanye phishing telah berdampak pada banyak organisasi korban kecuali GitHub. Pesan phishing mengklaim bahwa sesi CircleCI pengguna kedaluwarsa dan mencoba mengelabui penerima agar masuk menggunakan kredensial GitHub.

“Mengklik tautan akan membawa pengguna ke situs phishing yang terlihat seperti halaman login GitHub tetapi mencuri kredensial apa pun yang dimasukkan. Untuk pengguna dengan  two factor authentication (2FA) berbasis TOTP diaktifkan, situs phishing juga menyampaikan kode TOTP apa pun ke pelaku ancaman dan GitHub secara real time, memungkinkan pelaku ancaman untuk membobol akun yang dilindungi oleh 2FA berbasis TOTP. Akun yang dilindungi oleh kunci keamanan perangkat keras  tidak rentan terhadap serangan ini.” membaca  nasihat yang  diterbitkan oleh perusahaan milik Microsoft.

Penerima diarahkan ke halaman phishing yang meniru halaman login GitHub yang dirancang untuk mencuri kredensial dan kode 2FA secara real-time yang dimasukkan oleh pengguna.